5.2 kebijakan
Manajemen puncak harus menetapkan kebijakan kemanan informasi
Sesuai tujuan organisasi
Menyediakan kerangka kerja utk menetapkan sasaran keamanan informasi
Komitmen utk memenuhi persyaratan yg berlaku
Perbaikan berkelanjutan smki
Kebijakan keamanan informasi harus
Terdokumentasi